不安全的设计（Insecure Design）

不安全的设计（Insecure Design） 是 OWASP Top 10 2021 年版本中新增的一个类别，指的是在系统或应用程序的设计阶段存在的安全缺陷，这些缺陷可能导致严重的安全漏洞。与传统的实现漏洞（如代码漏洞）不同，不安全的设计问题通常源于系统架构、业务流程或安全控制的设计不当。

1. 不安全的设计的定义

不安全的设计是指在系统或应用程序的设计阶段未能充分考虑安全性，导致系统在整体架构或业务流程上存在缺陷。这些问题通常无法通过简单的代码修复来解决，而是需要在设计层面进行根本性改进。

2. 不安全的设计的常见表现

1. 缺乏身份验证或授权机制：系统未对用户身份进行验证，或未正确实施权限控制。示例：允许未登录用户访问敏感功能。
2. 业务流程缺陷：业务流程设计不合理，容易被攻击者利用。示例：允许用户绕过支付流程直接获取商品。
3. 默认配置不安全：系统默认配置存在安全隐患，如默认密码、开放端口等。示例：使用默认的管理员账户和密码。
4. 缺乏安全控制：系统未实施必要的安全控制措施，如输入验证、输出编码等。示例：未对用户输入进行验证，导致 SQL 注入漏洞。
5. 依赖不安全的技术：系统设计依赖于不安全的技术或协议。示例：使用 HTTP 而不是 HTTPS 传输敏感数据。
6. 缺乏威胁建模：在设计阶段未进行威胁建模，未能识别潜在的安全风险。示例：未考虑数据泄露或拒绝服务攻击的风险。

3. 不安全的设计的危害

1. 系统性风险： 不安全的设计问题通常影响整个系统，可能导致大规模的安全事件。
2. 修复成本高： 设计层面的问题通常需要在系统架构或业务流程上进行重大调整，修复成本高。
3. 业务影响： 不安全的设计可能导致业务逻辑被绕过，造成经济损失或声誉损害。

4. 防护措施

1. 安全设计原则： 遵循安全设计原则，如最小权限原则、纵深防御原则等。
2. 威胁建模： 在设计阶段进行威胁建模，识别潜在的安全风险并制定防护措施。
3. 安全评审： 在系统设计阶段进行安全评审，确保设计符合安全要求。
4. 安全开发生命周期（SDL）： 实施安全开发生命周期，将安全性融入开发的每个阶段。
5. 安全培训： 对开发人员和设计人员进行安全培训，提高安全意识。

5. 示例

示例 1：缺乏身份验证

• 问题：系统允许未登录用户访问敏感功能。
• 修复：在设计阶段实施身份验证机制，确保只有授权用户才能访问敏感功能。

示例 2：业务流程缺陷

• 问题：用户可以通过修改 URL 参数绕过支付流程。
• 修复：重新设计业务流程，确保支付流程不可绕过。

示例 3：默认配置不安全

• 问题：系统使用默认的管理员账户和密码。
• 修复：强制用户在首次登录时修改默认密码，并禁用默认账户。

6. 总结

不安全的设计是系统或应用程序在设计阶段存在的安全缺陷，可能导致严重的安全漏洞。通过在设计阶段实施安全设计原则、进行威胁建模和安全评审，可以有效避免不安全的设计问题。对于开发团队来说，将安全性融入系统设计的每个环节是确保系统安全的关键。